18
0
Fork 0

soyons explicite sur le fait qu'on utilise pas de contrainte

This commit is contained in:
Daniel Jakots 2017-12-06 15:01:27 -05:00
parent fdaddeb8df
commit 65758d55aa
1 changed files with 2 additions and 3 deletions

View File

@ -105,11 +105,10 @@ Il est installé et lancé par défaut avec une configuration minimale via le fi
~~~
servers pool.ntp.org
constraints from "https://www.google.com/"
#constraints from "https://www.google.com/"
~~~
Le démon d'OpenBSD a une fonctionnalité supplémentaire : il sait demander la date à un serveur https via TLS. Cela ne permet pas d'améliorer la précision mais rajoute une contrainte sur la date synchronisée et réduit ainsi la possibilité d'une attaque man in the middle (MITM) sur le protocole NTP lui-même. Les paquets NTP n'étant pas en accord avec la contrainte sont ignorés et le serveur NTP dont ils proviennent est marqué comme invalide.
Le démon d'OpenBSD a une fonctionnalité supplémentaire : il sait demander la date à un serveur https via TLS. Cela ne permet pas d'améliorer la précision mais rajoute une contrainte sur la date synchronisée et réduit ainsi la possibilité d'une attaque man in the middle (MITM) sur le protocole NTP lui-même. Les paquets NTP n'étant pas en accord avec la contrainte sont ignorés et le serveur NTP dont ils proviennent est marqué comme invalide. Néanmoins on préfère éviter de signifier à google la présence d'une machine OpenBSD et donc on commente cette directive.
À noter que par défaut, la synchronisation NTP est lente, il faudra plusieurs minutes voire heures
si votre horloge a un fort décalage.